Ready Player One : l’épouvantable gestion des mots de passe dans un futur dystopique

Le septième art ne cesse de fantasmer les technologies. L’un des maîtres en la matière est Steven Spielberg. Le réalisateur, passionné de science-fiction, a suscité au fil des décennies l’engouement du public avec des productions futuristes.

D’E.T l’extraterrestre, à Minority Report, en passant A.I., intelligence artificielle, force est de constater que la technologie occupe une place dominante dans son œuvre. Bien que son talent ne s’arrête pas aux portes de la dystopie, Spielberg a toujours fait preuve d’un intérêt poussé pour la pop culture et les innovations.

 

Dernier film en date, Ready Player One, sorti en 2018 et adapté du roman Player One, publié par Ernest Cline en 2011. L’histoire se projette dans près de 30 ans et propose une lecture cynique de la dérive des excès de l’homme. Cette adaptation offre un parallèle intéressant avec la cybersécurité et démontre concrètement les faux-pas que les organisations doivent absolument éviter si elles ne veulent pas perdre leurs données.

 

Synopsis : quand Spielberg ignore la biométrie et l’authentification

Tout est fait pour rassembler un public nostalgique des années 80, de pop culture – dont les jeux vidéo - et amateur de technologies. L’intrigue de ce film se situe en effet en 2045 dans un futur post-apocalyptique où les énergies fossiles ont été épuisées, le monde est surpeuplé et chaque pays est entré en guerre. La Terre ressemble à un immense bidonville, conséquence du réchauffement climatique. Afin d’échapper à cette lugubre existence, un groupe de développeurs a créé une réalité virtuelle dénommée "L’Oasis" permettant aux utilisateurs de se créer un avatar et d’y interagir par un système de communication kinesthésique. Il s’agit d’un refuge virtuel où les joueurs y sont libres d’être, et de faire, tout ce que bon leur semble.

Le cœur de l’intrigue se concentre sur le testament laissé par l’un des fondateurs de l’Oasis. Celui-ci indique que la personne capable de relever son dernier défi héritera de l’ensemble de sa fortune et prendra le contrôle total de l’Oasis ; qui s’avère être la plus importante ressource économique. Dès lors, le héros de cette histoire, Wade Watts, dont l’avatar se prénomme "Parzival", emploie tout son temps à essayer de remporter ce défi, afin d’échapper à la pauvreté. Il doit cependant se mesurer à d’autres participants, parmi lesquels, l’entreprise Innovative Online Industries (IOI) et son redoutable PDG, Nolan Sorrento, prêt à tout pour réussir.

 

L’absence d’authentification multi-facteurs : vraie science-fiction de l’histoire

Après que Wade/Parzival a remporté la première étape, il est immédiatement convoqué par Nolan Sorrento, qui lui offre un poste chez IOI pour remporter les deux épreuves restantes. Il commet alors une erreur cruciale de sécurité des accès à privilèges – ou accès administrateurs – en présentant sa plateforme de jeu sophistiquée et en révélant par inadvertance son mot de passe, "caché" à l’intérieur de son fauteuil de réalité virtuelle, et de surcroît écrit sur un post-it.

Alors que le héros progresse dans son accession au Saint Graal, son amie, Samantha – Artémis dans l’Oasis – est enlevée par IOI. Pour la sauver, et épaulé par sa bande d’amis, il exécute ingénieusement une attaque de l’homme du milieu (man-in-the middle, MITM) en interceptant à distance la tentative d’accès de Sorrento à l’Oasis avec les identifiants qu’il lui a dérobés. Ils s’introduisent alors facilement dans son flux, géolocalisent la cellule où est retenue leur amie, et lui communiquent les instructions nécessaires pour s’échapper. Une fois libérée, Artémis se déplace à l’intérieur de la plateforme de Sorrento, et forte des identifiants volés, parvient à se faire passer pour lui en tant qu’utilisateur à privilèges ; elle constitue à ce moment-là la menace interne telle que définie en cybersécurité. Elle est alors à même de voler les informations clés qui permettront à Parzival et son groupe de remporter le défi final.

Il est important de noter que dans le film - situé en 2045, un monde dominé par les technologies et la réalité virtuelle - l’entreprise leader du marché n’a mis en place absolument aucun système d’authentification multi-facteurs (MFA), de scan de la rétine, ou autre technique innovante d’authentification des utilisateurs ; il s’agit là de la pire projection de sécurité possible !

 

Et si on cessait de laisser trainer les mots de passe dès 2019 ?

En effet, les héros de cette histoire n’auraient pas eu autant de succès si un système basique de gestion et de sécurisation des identifiants avait été en place. Il va sans dire que le mot de passe d’administrateur inscrit sur un post-it à la vue de tous est une très mauvaise pratique de sécurité, et que lorsque les identifiants sont gérés manuellement, cela peut coûter très cher. En 2019, certaines équipes IT gèrent encore manuellement la rotation et la mise à jour des identifiants à privilèges, en conformité avec les règlementations internes ou imposées par le marché. Ces processus sont extrêmement chronophages et sujets à l’erreur humaine.

 

Sans les bons outils en place pour automatiser et synchroniser les changements d’identifiants à travers les systèmes, les organisations peuvent être confrontées à d’importants coûts opérationnels ainsi qu’à une perte de productivité provoquée par le verrouillage accidentel de comptes utilisateurs. Cela peut être évité avec la mise en place d’une solution de protection des accès à privilèges qui stocke et modifie automatiquement les identifiants de connexion, quelle que soit la politique de sécurité en place. Elle permet également d’invalider certains identifiants automatiquement afin d’empêcher des utilisateurs malveillants de s’octroyer des privilèges pour s’introduire dans les systèmes. Les organisations peuvent aller plus loin et s’équiper d’outils de détection et d’alerte d’anomalies et de risques importants ; cela aurait sans doute permis au PDG d’IOI de protéger sa plateforme et d’empêcher la première compromission et le vol de données à privilèges. En effet, la mise en place d’alertes de sécurité offre aux équipes IT un niveau de détails favorisant une réponse rapide et le blocage de toute attaque en cours ; en d’autres termes, avec ce type d’outils de sécurité, le héros de Ready Player One et son groupe auraient pu être interceptés dès le début – et toute l’intrigue de l’histoire se serait écroulée !

Au cours des dernières années, des séries, comme Black Mirror ou Mr. Robot, se sont attachées à respecter au mieux le réalisme des technologies et de leurs conséquences sur le mode de vie des humains. Ce ne fût pas complètement le parti pris de Spielberg, qui s’est concentré sur les références aux années 80, plutôt que sur les systèmes de sécurité de son « méchant ». Or, aussi invraisemblable qu’une telle absence de sécurité puisse paraître dans le futur, les dernières cyberattaques perpétrées dans la vie réelle sont la preuve des manquements toujours bien présents de nombreuses organisations. On trouve en effet toujours des mots-passe écrits sur du papier, des identifiants simples à déchiffrer, des privilèges trop élevés, ainsi que des identifiants utilisés par plusieurs personnes ou encore non désactivés après le départ d’un employé. Ces erreurs sont autant d’opportunités pour les pirates informatiques.

Les comptes administrateurs sont et resteront les clés du royaume pour les pirates. Et tant que les organisations ne prendront pas les mesures nécessaires pour protéger ces comptes, les vulnérabilités persisteront, et avec elles les pertes et vols de données. Inutile d’attendre 2045 pour se protéger ; il suffit que ce soit la bonne résolution de 2019 !